2021年网络安全领域的新篇章. 2021-02-26
随着2021年的到来,是时候来关注一下2021年以及网络安全领域的新篇章。毫无疑问,可能的攻击方式有很多种,但本文以下所列的五种攻击类型在利用物联网(IoT)威胁的攻击者中,正变得越来越流行和普遍。
1.内置物联网威胁
在实体采用物联网时,他们在威胁防范方面依然会落后于国防和指导部门。此外,威胁实施者会充分利用物联网带来的风险与实体在应对这些风险所做准备之间的差距。
物联网设备本质上是不安全的。它们会连接到网络,这意味着攻击者也可以访问它们。但是物联网设备缺乏加密等基本保护的处理能力。此外,它们往往十分重要但价格不高,用户可以轻松部署大量的设备(到2021年底,全球IoT设备的总量可能达到350亿台)。
IT可能未得到授权,甚至可能不知道这些设备。在很多情况下,雇主甚至都没有它们的所有权。
物联网可能会成为勒索软件攻击的首选目标。僵尸网络、高级持续性威胁、分布式拒绝服务(DDoS)攻击、身份盗用、数据盗用、中间人攻击、社交工程攻击等也可能会以物联网作为攻击媒介。
物联网威胁,包括那些针对数据库的威胁,也与2021年的一些其他趋势有交叠。在自动化程度日益提高的世界中,许多攻击都将重点放在供应链和制造领域。物联网在这些领域中使用得非常广泛,而设备更新并非总是第一优先事项。随着物联网网络遭遇更多新型攻击,一个问题变得尤为重要,那就是:我们是否可以更新老化的固件,为其提供所需的防护?
2.AI在IoT威胁中的作用
在2021年,由AI驱动的物联网威胁很有可能会大行其道。这一点并不奇怪。
自2007年以来,基于AI的攻击一直都在发生,主要用于社交工程攻击(模拟人类聊天)和增强DDoS攻击。2018年,在一份关于威胁的开创性研究报告发表之后,对AI的恶意使用便出现在每个人的视野之中。
随着时间的推移,更精细的算法将能够更好地模仿网络上的普通用户,进而阻止检测系统发现异常行为。在网络攻击对AI的利用方面,近期的最大发展是用于构建和使用AI系统的工具已变得“平民化”。威胁实施者现在可以构建AI工具,而在几年前,只有研究人员可以构建AI工具。
在执行IoT威胁的许多元素(例如重复性任务、交互式响应和超大数据集处理)方面,AI系统比人类做得更好。总体而言,AI将会助推威胁实施者扩大物联网威胁,实现其自动化并让其更加灵活。
此外,在2021年,我们不能只关注基于AI的新型物联网威胁。相反,我们也要关注常见的网络漏洞和其他攻击,不过与过去相比,它们的部署速度更快、规模更大,而且在灵活性、自动化和可定制化方面也更加强大。
3.采用Deepfake技术实施IoT威胁
攻击者会采用与Deepfake视频相同的工具来实施IoT威胁,例如蛮力攻击、欺骗性生物特征识别等。举例来说,大学研究人员已经证明了生成对抗网络(GAN)技术可以强行使用伪造但实用的指纹。。和强行使用密码一样,他们通过数千次的强行尝试来实施攻击。
实际上,我们已经看到,一些恶意攻击已经开始使用Deepfake技术。攻击者在最开始的时候是伪造声音。攻击者会对计算机系统进行训练,使它们能够发出听起来像是某个首席执行官的声音,然后假冒该首席执行官打电话给员工,要求员工汇款或做其他事情。
音频和图像方面的Deepfake技术现在已基本完善,也就是说,您可以创建大多数人都无法分辨的声音和照片。
视频领域是Deepfake技术的“天堂”。即便是如今,以这种方式制作的视频仍旧令人不可思议。不过攻击者还可以完善Deepfake视频,让视频通话社交工程攻击更具说服力,这只是时间问题。他们还可以使用伪造的视频进行网络破坏、敲诈和勒索。
4.更专业的网络犯罪
纵观网络犯罪的整个历史,会发现攻击者一直都在不断完善。这种完善经常反映了正当业务中的趋势。物联网威胁的这一长期趋势仍将继续,因为我们预计2021年将会出现更多的专业化和外包服务。威胁实施者会追逐更大的利益。他们不会由单个人或单个团伙负责所有工作,而是由多个团伙提供有偿服务。一次攻击可能会涉及多个团伙,每个团伙都发挥自己的特长。
举例来说,一个团伙可能专门负责大规模侦察,然后以一定价格在暗网上提供他们的知识。另一个团伙可能会购买这些知识,然后雇用另一个团伙通过社交工程攻击对受害者实施攻击。该团伙可能会反过来聘请母语人士和图形设计师来制作更具说服力的电子邮件。一旦他们获得访问权限,便会雇佣多个专业团伙进行勒索、比特币挖矿、敲诈和其他攻击。
就像企业运营已变得专业化、多元化并从外包中受益一样,构建物联网威胁的攻击者也是如此。
5.国家赞助的攻击与犯罪攻击之间的细分
上述组织化趋势(专业化和外包)将进一步模糊国家赞助的攻击与团伙攻击之间的界限。这一点其实很好理解。实际上,许多所谓的国家赞助网络攻击是由与政府机构(包括军事和间谍机构)有关联的犯罪团伙实施的。
通过提升专业化水平并增加外包服务的使用,民族国家将会从网络攻击(比如物联网威胁)中获益,得到更多的金钱利益。各个民族国家会雇用其他与政府机构无关联的网络团队实施特定的恶意攻击或承担攻击中的特定部分工作。
即使在今天,也很难界定检测到的攻击是否是由某个国家所赞助的。从2021年开始到无限的未来,几乎都不可能准确界定。毫无疑问,2021年又将会是网络安全的攻坚年。我们需要将物联网威胁的这五种趋势作为重点领域加以关注。